HCHCNASecurityCBSN第章网络安全概述V

1、Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 0 修订记录 课程编码课程编码适用产品适用产品产品版本产品版本课程版本课程版本ISSUE HC1103华为防火墙V300R001V1.0 开发开发/优化者优化者审核人审核人开发类型（新开发开发类型（新开发/优化）优化） 2011.7第一版 本页不打印 Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. 第一章 网络安全概述 Copyright 2010 Huawei Tech

2、nologies Co., Ltd. All rights reserved. Page 2 目标 l学完本课程后，您将能够: p了解OSI模型 p 理解TCP/IP协议原理 p了解TCP/IP协议存在哪些安全问题 p了解攻击者主要使用哪些攻击方式 Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 3 目录 1.OSI模型介绍模型介绍 2.TCP/IP协议介绍 3.TCP/IP协议安全介绍 4.常见网络攻击介绍 Copyright 2010 Huawei Technologies Co., Ltd. A

3、ll rights reserved. Page 4 OSI模型的提出 lOSI模型提出的目的 lOSI模型设计原则 lOSI模型的优点 Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 5 OSI模型七层介绍 应用层应用层 表示层表示层 会话层会话层 传输层传输层 网络层网络层 数据链路层数据链路层 物理层物理层 1 2 3 4 5 6 7 提供应用程序间通信 处理数据格式、数据加密等 建立、维护和管理会话 建立主机端到端连接 寻址和路由选择 提供介质访问、链路管理等 比特流传输 APDU PPDU

4、SPDU Segment Packet Frame Bit 上上 三三 层层 下下 四四 层层 Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 6 对等层通讯 l每一层利用下一层提供的服务与对等层通信 Host A Host B APDU PPDU SPDU Segment Packet Frame Bit 应用层应用层 表示层表示层 会话层会话层 传输层传输层 网络层网络层 数据链路层数据链路层 物理层物理层 应用层应用层 表示层表示层 会话层会话层 传输层传输层 网络层网络层 数据链路层数据链路层

5、 物理层物理层 Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 7 网络数据流处理流程 网络层网络层 数据链路层数据链路层 物理层物理层 网络层网络层 数据链路层数据链路层 物理层物理层 网络层网络层 数据链路层数据链路层 物理层物理层 网络层网络层 数据链路层数据链路层 物理层物理层 表示层表示层 会话层会话层 传输层传输层 应用层应用层 A B C D E Router ARouter BRouter C 网络层网络层 数据链路层数据链路层 物理层物理层 表示层表示层 会话层会话层 传输层传输层

6、应用层应用层 Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 8 目录 1.OSI模型介绍 2.TCP/IP协议介绍协议介绍 3.TCP/IP协议安全介绍 4.常见网络攻击介绍 Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 9 TCP/IP和OSI的对应关系 lTCP/IP协议栈具有简单的分层设计，与OSI参考模型有清晰的对应 关系 OSITCP/IP 物理层物理层 数据链路层数据链路层 网络层网络层 传输

7、层传输层 会话层会话层 表示层表示层 应用层应用层 数据链路层数据链路层 网络层网络层 传输层传输层 应用层应用层 Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 10 l9、 人的价值，在招收诱惑的一瞬间被决定。21.6.2421.6.24Thursday, June 24, 2021 l10、低头要有勇气，抬头要有低气。18:51:0418:51:0418:516/24/2021 6:51:04 PM l11、人总是珍惜为得到。21.6.2418:51:0418:51Jun-2124-Jun-21

8、 l12、人乱于心，不宽余请。18:51:0418:51:0418:51Thursday, June 24, 2021 l13、生气是拿别人做错的事来惩罚自己。21.6.2421.6.2418:51:0418:51:04June 24, 2021 l14、抱最大的希望，作最大的努力。2021年6月24日星期四下午6时51分4秒18:51:0421.6.24 l15、一个人炫耀什么，说明他内心缺少什么。2021年6月下午6时51分21.6.2418:51June 24, 2021 l16、业余生活要有意义，不要越轨。2021年6月24日星期四18时51分4秒18:51:0424 June 202

9、1 l17、一个人即使已登上顶峰，也仍要自强不息。下午6时51分4秒下午6时51分18:51:0421.6.24 Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 11 l9、 人的价值，在招收诱惑的一瞬间被决定。21.6.2421.6.24Thursday, June 24, 2021 l10、低头要有勇气，抬头要有低气。18:51:0418:51:0418:516/24/2021 6:51:04 PM l11、人总是珍惜为得到。21.6.2418:51:0418:51Jun-2124-Jun-21

10、l12、人乱于心，不宽余请。18:51:0418:51:0418:51Thursday, June 24, 2021 l13、生气是拿别人做错的事来惩罚自己。21.6.2421.6.2418:51:0418:51:04June 24, 2021 l14、抱最大的希望，作最大的努力。2021年6月24日星期四下午6时51分4秒18:51:0421.6.24 l15、一个人炫耀什么，说明他内心缺少什么。2021年6月下午6时51分21.6.2418:51June 24, 2021 l16、业余生活要有意义，不要越轨。2021年6月24日星期四18时51分4秒18:51:0424 June 2021

11、 l17、一个人即使已登上顶峰，也仍要自强不息。下午6时51分4秒下午6时51分18:51:0421.6.24 Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 12 TCP/IP协议栈封装解封装过程 数据链路层数据链路层 网络层网络层 传输层传输层 应用层应用层 用户数据 用户数据 用户数据 APP TCP 用户数据 APP TCP 用户数据 APP IP TCP 用户数据 APP IP Eth数据链路层数据链路层 网络层网络层 传输层传输层 应用层应用层 封 装 过 程 解 封 装 过 程 Copy

12、right 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 13 TCP/IP协议栈各层作用 提供应用程序网络接口 建立端到端连接 寻址和路由选择 物理介质访问 HTTP, Telnet, FTP,TFTP, DNS 数据链路层数据链路层 网络层网络层 传输层传输层 应用层应用层 Ethernet, 802.3, PPP, HDLC, FR TCP/UDP IP ICMP, IGMP ARP, RARP Copyright 2010 Huawei Technologies Co., Ltd. All rights res

13、erved. Page 14 TCP/IP协议栈各层作用 提供应用程序网络接口 建立端到端连接 寻址和路由选择 物理介质访问 HTTP, Telnet, FTP,TFTP, DNS 数据链路层数据链路层 网络层网络层 传输层传输层 应用层应用层 Ethernet, 802.3, PPP, HDLC, FR TCP/UDP IP ICMP, IGMP ARP, RARP Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 15 套接字 HTTP FTP TelnetSMTPDNSTFTPSNMP TCPUD

14、P IP 数 据 包 套套 接接 字字 80 20/212325 53 69161 l 源套接字：源IP地址协议源端口 l 目的套接字：目的IP地址协议目的端口 Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 16 数据链路层协议 目的地址源地址类型 数据CRC 46-1500字节 l以太网协议封装 l 类型信息 类型，0800：代表IP 类型，0806：代表ARP 类型，8035：代表RARP Copyright 2010 Huawei Technologies Co., Ltd. All righ

15、ts reserved. Page 17 地址解析协议 目的 地址 源 地址 帧 类 型 硬件 类型 协 议 类 型 地址 长度 OP源地址目的地址 28字节ARP请求/应答 l地址解析协议（地址解析协议（ARP）封装）封装 硬件地址长度 协议地址长度 以太网地址IP地址 l IP协议类型：0806 Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 18 网络层协议 版本报文长度服务类型总 长 度 标 识 符标志 片 偏 移 生存时间 协 议报 头 校 验 和 源 IP 地 址 目 的 IP 地 址 I

16、P 选 项 Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 19 传输层协议 源端口目的端口 序列号 确认号 URG ACK PSH RST SYN FIN 首部长度 保留(6位) 窗口大小 TCP校验和 紧急指针 选项 数据 08162431 源端口目的端口 UDP校验和（可选） 数据 UDPUDP报文格式报文格式 TCPTCP报文格式报文格式 UDP长度 Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 2

17、0 建立TCP连接 l三次握手 SYN (seq=a) SYN (seq=b, ack=a+1) ACK (seq=a+1,ack=b+1) Client Server Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 21 断开TCP连接 l四次握手 FIN (seq=a) ACK (seq=a+1) FIN (seq=b, ack=a+1) ACK (seq=b+1) 主动关闭方主动关闭方 被动关闭方被动关闭方 Copyright 2010 Huawei Technologies Co., Ltd.

18、 All rights reserved. Page 22 目录 1.OSI模型介绍 2.TCP/IP协议介绍 3.TCP/IP协议安全介绍协议安全介绍 4.常见网络攻击介绍 Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 23 TCP/IP协议安全隐患 lTCP/IP协议栈-IPV4 p缺乏数据源验证机制 p缺乏完整性验证机制 p缺乏机密性保障机制 lTCP/IP协议族栈所面临的常见安全风险 p数据链路层：Mac欺骗、Mac泛洪、ARP欺骗、STP重定向等 p网络层：IP欺骗、报文分片、ICMP攻击

19、及路由攻击等 p传输层：SYN Flood攻击等 p应用层：缓冲区溢出、漏洞、病毒及木马等 Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 24 ARP协议安全隐患 lARP欺骗攻击 lARP Flood攻击 MAC:00-01-02-03-04-05 MAC:00-10-20-30-40-50 网关网关 MAC:01-11-21-31-41-51 我才是真正的网关 Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Pa

20、ge 25 IP协议安全隐患 Sniffer request sniffered Spoofed reply l节点间信任关系节点间信任关系：通过IP地址建立信任关系 l中间人攻击中间人攻击：仿冒合法IP地址，获取机密信息； 为何IP易于欺骗 Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 26 IP协议安全隐患 Sniffer request sniffered Spoofed reply l节点间信任关系节点间信任关系：通过IP地址建立信任关系 l中间人攻击中间人攻击：仿冒合法IP地址，获取机密信

21、息； 为何IP易于欺骗 Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 27 TCP协议安全隐患 主机 A 主机 B SYNseqack 1110010 spoofed packet from C to A SYNseqackACK 1 ACKseqack 11100154003 spoofed packet from B to A 拒绝服务攻 击 from C to B A 信任 B 攻击主机 C 非授权连接 Copyright 2010 Huawei Technologies Co., Ltd. All rights reserved. Page 28 目录 1.OSI模型介绍 2.TCP/IP协议介绍 3.TCP/IP协议安全介绍 4.常见网络攻击介绍